Instructions pour la résolution des problèmes de BitLocker
Cet article traite des problèmes courants dans BitLocker et fournit des instructions pour résoudre ces problèmes. Cet article fournit également des informations telles que les données à collecter et les paramètres à vérifier. Ces informations facilitent considérablement le processus de résolution des problèmes.
Consultez les journaux des événements.
Ouvrez l’Observateur d’événements et passez en revue les journaux suivants sous Applications et Journaux>des services Microsoft>Windows :
BitLocker-API. Passez en revue le journal de gestion , le journal opérationnel et tous les autres journaux générés dans ce dossier. Les journaux par défaut portent les noms uniques suivants :
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Tracing - affiché uniquement lorsque les journaux d’analyse et de débogage sont activés
BitLocker-DrivePreparationTool. Passez en revue le journal d’administration , le journal opérationnel et tous les autres journaux générés dans ce dossier. Les journaux par défaut portent les noms uniques suivants :
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
En outre, examinez le journal Windows Logs>System à la recherche d'événements produits par les sources d'événements TPM et TPM-WMI.
Pour filtrer et afficher ou exporter des journaux, l’outil en ligne de commande wevtutil.exe ou l’applet de commande Get-WinEvent PowerShell peut être utilisé.
Par exemple, pour utiliser wevtutil.exe pour exporter le contenu du journal opérationnel à partir du dossier BitLocker-API vers un fichier texte nommé BitLockerAPIOpsLog.txt, ouvrez une fenêtre d’invite de commandes et exécutez la commande suivante :
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Pour utiliser l’applet de commande Get-WinEvent pour exporter le même journal vers un fichier texte séparé par des virgules, ouvrez une fenêtre Windows PowerShell et exécutez la commande suivante :
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
L’événement Get-WinEvent peut être utilisé dans une fenêtre PowerShell avec élévation de privilèges pour afficher des informations filtrées à partir du journal système ou de l’application à l’aide de la syntaxe suivante :
Pour afficher les informations relatives à BitLocker :
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | flLa sortie d’une telle commande ressemble à ce qui suit :
Pour exporter les informations relatives à BitLocker :
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csvPour afficher les informations relatives au module TPM :
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | flPour exporter des informations relatives au module TPM :
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csvLa sortie d’une telle commande ressemble à ce qui suit.
Note
Lorsque vous contactez Support Microsoft, il est recommandé d’exporter les journaux répertoriés dans cette section.
Collecter des informations d’état à partir des technologies BitLocker
Ouvrez une fenêtre Windows PowerShell avec élévation de privilèges et exécutez chacune des commandes suivantes :
| Commande | Notes | En savoir plus |
|---|---|---|
Get-Tpm > C:\TPM.txt |
Applet de commande PowerShell qui exporte des informations sur le module de plateforme sécurisée (TPM) de l’ordinateur local. Cette applet de commande affiche différentes valeurs selon que la puce TPM est la version 1.2 ou 2.0. Cette applet de commande n’est pas prise en charge dans Windows 7. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exporte des informations sur l’état général du chiffrement de tous les lecteurs sur l’ordinateur. | état manage-bde.exe |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exporte des informations sur les méthodes de protection utilisées pour la clé de chiffrement BitLocker. | protecteurs manage-bde.exe |
reagentc.exe /info > C:\reagent.txt |
Exporte des informations sur une image en ligne ou hors connexion sur l’état actuel de l’environnement de récupération Windows (WindowsRE) et toute image de récupération disponible. | reagentc.exe |
Get-BitLockerVolume \| fl |
Applet de commande PowerShell qui obtient des informations sur les volumes que le chiffrement de lecteur BitLocker peut protéger. | Get-BitLockerVolume |
Passer en revue les informations de configuration
Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez les commandes suivantes :
Commande Notes En savoir plus gpresult.exe /h <Filename>Exporte le jeu d’informations de stratégie résultant et enregistre les informations sous forme de fichier HTML. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>Exporte des informations complètes sur le matériel, les composants système et l’environnement logiciel sur l’ordinateur local. L’option /report enregistre les informations sous la forme d’un fichier .txt. msinfo.exe Ouvrez l’Éditeur du Registre et exportez les entrées dans les sous-clés suivantes :
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
Vérifier les prérequis BitLocker
Les paramètres courants qui peuvent provoquer des problèmes pour BitLocker incluent les scénarios suivants :
Le TPM doit être déverrouillé. Vérifiez la sortie de la commande d’applet de commande PowerShell get-tpm pour connaître l’état du module de plateforme sécurisée.
Windows RE doit être activé. Vérifiez la sortie de la commande reagentc.exe pour connaître l’état de WindowsRE.
La partition réservée par le système doit utiliser le format correct.
- Sur les ordinateurs dotés d'une interface microprogramme extensible unifiée (UEFI), la partition réservée au système doit être formatée en FAT32.
- Sur les ordinateurs hérités, la partition réservée au système doit être formatée en NTFS.
Si l’appareil est problématique est un PC de tablette ou d’ardoise, utilisez https://gpsearch.azurewebsites.net/#8153 cette option pour vérifier l’état de l’utilisation de l’authentification BitLocker nécessitant une entrée de clavier de préboot sur des ardoises .
Pour plus d’informations sur les prérequis BitLocker, consultez le déploiement de base De BitLocker : Utilisation de BitLocker pour chiffrer les volumes
Prochaines étapes
Si les informations examinées jusqu’à présent indiquent un problème spécifique (par exemple, WindowsRE n’est pas activé), le problème peut avoir un correctif simple.
La résolution des problèmes qui n’ont pas de causes évidentes dépend exactement des composants impliqués et du comportement que l’on voit. Les informations collectées aident à affiner les domaines à examiner.
Si l’appareil qui rencontre des problèmes est géré par Microsoft Intune, consultez Appliquer des stratégies BitLocker à l’aide d’Intune : problèmes connus.
Si BitLocker ne démarre pas ou ne peut pas chiffrer un lecteur et des erreurs ou des événements liés au TPM se produisent, voir BitLocker ne peut pas chiffrer un lecteur : problèmes de TPM connus.
Si BitLocker ne démarre pas ou ne peut pas chiffrer un lecteur, voir BitLocker ne peut pas chiffrer un lecteur : problèmes connus.
Si le déverrouillage réseau BitLocker ne se comporte pas comme prévu, consultez Déverrouillage réseau BitLocker : problèmes connus.
Si BitLocker ne se comporte pas comme prévu lorsqu’un lecteur chiffré est récupéré ou si BitLocker a récupéré de manière inattendue un lecteur, consultez récupération BitLocker : problèmes connus.
Si BitLocker ou le lecteur chiffré ne se comporte pas comme prévu, et que des erreurs ou des événements liés au TPM se produisent, consultez BitLocker et TPM : autres problèmes connus.
Si BitLocker ou le lecteur chiffré ne se comporte pas comme prévu, consultez la configuration de BitLocker : problèmes connus.
Il est recommandé de garder les informations collectées à portée de main si Support Microsoft est contacté pour obtenir de l’aide pour résoudre le problème.